LDAPTrustedClientCert não permitido aqui

1

Estou tentando configurar a autenticação de ldaps em um servidor CentOS 6.x executando o Apache 2.2. Eu tenho usado com sucesso a autenticação do ldap por alguns anos, mas preciso fazê-lo funcionar em SSL. Eu tenho ldap_module e authnz_ldap_module carregado. Meu problema é que não importa onde na pilha eu tente incluir diretivas como LDAPTrustedClientCert ou LDAPTrustedGlobalCert, recebo as mensagens 'diretiva não permitida aqui'. Eu tentei na configuração raiz, tentei dentro de um bloco dentro da configuração vhost, tentei permitir todas as substituições e colocá-lo dentro de um arquivo .htaccess ... tudo sem sucesso.

Eu gostaria de receber sugestões.

    
por verdonv 13.04.2018 / 22:15

3 respostas

2

Se por algum motivo você precisar fornecer um certificado de cliente ao fazer uma conexão ldap, deverá fornecer essas diretivas no mesmo local que a diretiva AuthType .

    <Location /secure-ldap-basic>
            AuthType basic
            AuthName "LDAP signin required"
            AuthBasicProvider ldap
            AuthLDAPUrl ldaps://ldap.example.com/ SSL
            LDAPTrustedClientCert KEY_BASE64 /etc/pki/tls/private/www.example.com.key
            LDAPTrustedClientCert CERT_BASE64 /etc/pki/tls/certs/www.example.com.cert
            Require valid-user
    </Location>
    <Location /secure-ldap-form>
            AuthType form
            AuthName realm
            AuthFormProvider ldap
            AuthLDAPUrl ldap://ldap.example.com/ STARTTLS
            LDAPTrustedClientCert KEY_BASE64 /etc/pki/tls/private/www.example.com.key
            LDAPTrustedClientCert CERT_BASE64 /etc/pki/tls/certs/www.example.com.cert
            Require valid-user
            AuthFormLoginRequiredLocation /login?%{REQUEST_URI}

            Session On
            SessionCookieName session path=/
            SessionCryptoPassphrase <passphrase>
     </Location>
    
por 14.04.2018 / 02:03
0

LDAPTrustedClientCert e LDAPTrustedGlobalCert são para certificados de cliente. Como tal, eles geralmente não são necessários para proteger a comunicação LDAP de um servidor da Web.

Esta diretiva é segura da mesma maneira que a maioria das conexões https são seguras:

AuthLDAPUrl ldaps://ldap.example.com/ SSL
    
por 14.04.2018 / 01:36
-1

De acordo com a documentação do apache 2.2:

link

que deve estar dentro de uma configuração de diretório.

<directory /the/directory/of/stuff>
    LDAPTrustedClientCert type directory-path/filename/nickname [password]
</directory>

Além disso, como você está lidando com certs, você deve estar em um host virtual SSL.

    
por 13.04.2018 / 23:19